Best Practice by InfoGuard 17.09.2024, 09:15 Uhr

Cyber Defence - ein Muss für die Compliance

Angesichts der wachsenden Bedrohung durch Cyberangriffe ist es unerlässlich, die eigene Resilienz zu stärken. Regulatorien wie NIS2 fordern dies ein. Für viele Unternehmen eine Herausforderung. Einem Security Operations Center (SOC) kommt eine zentrale Rolle zu. 
InfoGuard SOC – Cyber Defence Center, Baar
(Quelle: InfoGuard)
Unternehmen sehen sich mit einer rasant wachsenden Bedrohungslandschaft konfrontiert. Die Gründe sind vielfältig, insbesondere die fortschreitende Digitalisierung, Vernetzung innerhalb der Supply Chain, Cloud-Nutzung, Remote-Arbeit sowie neuen Technologien sind dafür verantwortlich. Die höchste Gefahrenstufe ist erreicht. Cyberattacken zählen zu den grössten operationellen Unternehmensrisiken.

Cyber Security ist Chefsache

Es sind aber auch positive Entwicklungen sichtbar: Das Bewusstsein für die dringende Notwendigkeit von Cybersicherheit ist gewachsen. Viele Unternehmen haben – auch auf Ebene des Top Managements, sprich der Geschäftsleitung und des Verwaltungsrates – in verstärkte Sicherheitsmassnahmen investiert. Zurecht.

Cyber Defence: ein Muss für Compliance

Gerade auch weil immer strengere nationale und internationale Vorschriften und Compliance-Anforderungen wie CRA, DORA, DSG/DSGVO, FINMA oder NIS2 von Schweizer Unternehmen fordern, ihre Cybersicherheit kontinuierlich zu optimieren. Cybersicherheit ist mehr als nur eine gesetzliche Auflage, sondern eine strategische Notwendigkeit für jede Organisation.

NIS2-Verordnung und deren Ziele

Die NIS2-Richtlinie der EU zielt darauf ab, ein besseres gemeinsames Cyber-Sicherheitsniveau zu schaffen und insbesondere die Cyberresilienz kritischer Infrastrukturen (KRITIS) zu stärken. Eine Nichterfüllung hat massive Sanktionen zur Folge. Ganz zu schweigen, dass Cybervorfälle existenzbedrohende Schäden verursachen und in einem massiven Reputationsverlust resultieren.

Cyberangriffe erkennen, abwehren und handlungsfähig bleiben

Die operationelle Resilienz gegen Cyberangriffe rückt in den Fokus. Sie umfasst die Erkennung und Reaktion auf Attacken, deren Bewältigung sowie das Sicherstellen der Betriebskontinuität bzw. die schnelle Wiederherstellung der Handlungsfähigkeit. Von Unternehmen werden u.a. ein Notfall- und Krisenmanagement, Incident-Response-Pläne sowie die Erkennung und Reaktion auf Cyberangriffe gefordert.
IT- und Sicherheitsverantwortliche von Schweizer Unternehmen sollten sich folgende Fragen stellen:
  • Sind Sie sich der Cyberbedrohungslage bewusst?
  • Kennen Sie die geltenden Vorschriften für Ihr Unternehmen?
  • Erkennen Sie Cyberangreifer in Ihrem Netzwerk?
  • Sind Sie in der Lage, 24/7 Cyberangriffe abzuwehren, bevor ein Schaden entsteht?
  • Können Sie auf Cyberangriffe sofort reagieren?
  • Können Sie zeitnah Ihre Handlungsfähigkeit wiederherstellen?

SOC & MDR heissen die Zauberworte

Die Antworten auf diese Fragen und alle nötigen und gefragten Kompetenzen vereint ein dediziertes Security Operations Center (SOC). Hier wird das erfolgreiche Zusammenspiel von Personen, Tools und Prozesse gebündelt und hilft Unternehmen, sich effizient und effektiv vor Cyberangriffen zu schützen. Die erfolgreiche Grundlage dafür bildet häufig und zurecht ein 24/7 Managed Detection & Response (MDR) Service, der rund um die Uhr für umfassenden Schutz sorgt.
Die Anforderungen an ein Security Operations Center sind komplex und vielschichtig.
Quelle: InfoGuard

Herausforderung: Fachkräftemangel und reduzierte Budgets

Unsere Erfahrung und die Rückmeldungen von zahlreichen Unternehmen zeigen eines auf: Die Notwendigkeit eines SOC und integriertem MDR-Service wird zwar erkannt und als die optimale Lösung angesehen. Es stellt jedoch für viele Unternehmen eine gros-se Herausforderung dar. Die Krux liegt einerseits darin, entsprechende Fachkräfte zu rekrutieren. Andererseits bedeutet der Aufbau und 24/7-Betrieb eines SOC eine beträchtliche Investition und benötigt Sicherheitsfachleute mit langjähriger Erfahrung, eingespielte Prozesse und führende Technologien. Ein Unterfangen, das sich sehr viele Unternehmen schlicht nicht leisten wollen – oder können.

Make or Buy

Die Anforderungen an ein Security Operations Center sind komplex und vielschichtig. So muss ­dieses rund um die Uhr Cyberattacken entdecken, analysieren, bewerten und umgehend darauf reagieren können. Und im Ereignisfall den Incident-Response-Prozess starten. Im Make-or-Buy-Entscheid sind für Unternehmen drei Fragen von zentraler Bedeutung:
  1. Verfügen Sie über die Fachkräfte und sind diese 24/7 einsetzbar?
  2. Welche technologischen Lösungen und Prozesse brauchen Sie in Ihrem Unternehmen für eine erfolgreiche Cyber Defence und die umgehende Reaktion bei einem Sicherheitsvorfall?
  3. Was kostet Ihr Unternehmen die Umsetzung und der Betrieb?
Die Erfahrung zeigt: Ein eigenes SOC ist ein Kraftakt und gleichzeitig eine nicht zu unterschätzende finanzielle Belastung. Die Überlegung lohnt sich, diese anspruchsvolle Aufgabe und Leistungen von einem professionellen, erfahrenen Managed Detection & Response-Dienstleister zu beziehen oder Teilaufgaben im Sinne eines Co-managed SOC auszulagern.

Integriertes CSIRT als Erfolgsfaktor

Oberste Priorität geniesst dabei die Rund-um-die-Uhr-Überwachung der gesamten Infrastruktur. Dafür ist ein integriertes Computer Security Incident Response Team (CSIRT) unabdingbar. Diese Spezialisten sind bei einem Sicherheitsvorfall für die rasche Wiederherstellung Ihrer Handlungsfähigkeit und damit die Minimierung des Business-Impacts verantwortlich. Insbesondere bei Incident Respondern ist Erfahrung Trumpf. Externe Spezialisten nehmen im Krisenstab eine zentrale Rolle ein, coachen Unternehmen, leiten die forensischen Untersuchungen, übernehmen die Interaktion mit den Behörden, unterstützen in der Krisenkommunikation und führen allfällige Verhandlungen mit den Cyberkriminellen.

Ob Make or Buy – sicher muss es sein

Egal für welche Lösung Sie sich entscheiden, ob Sie die Cyberabwehr eigenständig übernehmen oder ­einem professionellen Sicherheitsdienstleister ­anvertrauen: Entscheidend ist die Auswahl agiler ­Sicherheitslösungen. Und es bedarf einer perfekten Abstimmung der drei Komponenten People, Process & Technology.
Die Zeit drängt. Um nochmals auf die neue NIS2-Richtlinie zurückzukommen: Diese muss bereits bis Oktober 2024 von den (betroffenen) Unternehmen vollzogen werden. Unternehmen sind gut beraten, externe Cybersicherheits-Experten hinzuzuziehen, um die Anforderungen erfolgreich umzusetzen und den Einsatz eines SOC zu prüfen.
Der Autor
InfoGuard AG
Ernesto Hartmann ist Chief Cyber Defence Officer bei InfoGuard AG

«Jedes Unternehmen ist bedroht»

MDR ist das Herzstück einer effektiven und effizienten Cyberabwehr, sagt Patrick Inderkum. Im Interview erklärt er, wie man sein Unternehmen erfolgreich schützt.

Computerworld: Herr Inderkum, wie schätzen Sie die aktuelle Bedrohungslage ein?
Patrick Inderkum ist Head of Cyber Defence bei InfoGuard AG.
Quelle: InfoGuard
Patrick Inderkum:
Cybercrime ist Realität und bleibt eine Herausforderung. Die Bedrohungslage entwickelt sich rasch weiter. Laut dem Cisco Cybersecurity Readiness Index 2024 waren in den letzten 12 Monaten 45 Prozent der befragten Schweizer Unternehmen von einer Cyberattacke betroffen. Auch unser CSIRT verzeichnete mit 260 IR-Fällen einen Anstieg gegenüber dem Vorjahr von mehr als 65 %!
CW: Welche Unternehmen und Branchen sind besonders gefährdet?
Inderkum: Die Tatsache ist alarmierend und beunruhigend zugleich: Jedes Unternehmen ist bedroht – unabhängig von der Grösse und Branche. Die Zeiten, als nur grosse Unternehmen das Ziel von Cyberangriffen waren, sind definitiv vorbei.
CW: Was gilt es zu tun? Wo sollten Unternehmen aufrüsten und investieren?
Inderkum: Im Ernstfall entscheidend, ist ein ausgewogenes Sicherheitsdispositiv, das Verhinderung, Erkennung und Reaktion (Prevention, Detection and Response) einschliesst. Ganz wichtig dabei: Unternehmen müssen nicht nur in präventive Massnahmen investieren, sondern sich auch für die Wiederherstellung der IT (Recovery) im Falle eines Sicherheitsvorfalls vorbereiten.
CW: Wo liegen die Herausforderungen?
Inderkum: Sowohl für Prevention, Detection und Response gilt: Viele Unternehmen sind nicht dazu in der Lage, dies eigenständig zu managen und in einer Krisensituation effektiv zu reagieren.
CW: Wo liegen die Gründe?
Inderkum: Meistens fehlt ihnen das nötige Know-how, oder es scheitert an Ressourcenmangel, fehlendem Budget oder aber, absolut verständlicherweise, wegen emotionaler Überforderung. Daher ist es ratsam, externe Spezialisten hinzuzuziehen.
CW: Welche Rolle spielen neue, innovative Technologien in der modernen Cyberabwehr?
Inderkum: Eine sehr wichtige. Die Angriffe werden immer raffinierter, komplexer und setzen neue Technologien ein. Um ein Unternehmen erfolgreich zu schützen, sind KI-getriebene Lösungen notwendig, welche mittels maschinellem Lernen anpassungsfähig sind und direkt an den Endpunkten ansetzen. Derartige Lösungen müssen in einem SOC bzw. MDR-Service zwingend integriert sein und im Einsatz stehen.
CW: Apropos SOC: Welche Unternehmen leisten sich heute ein eigenes SOC?
Inderkum: Hauptsächlich sind es die grossen Unternehmen. Die Mehrheit will (und kann) sich kein eigenes Security Operations Center leisten. Ich bin davon überzeugt, dass ein Co-Managed-Ansatz genau richtig ist. Ein Managed Detection & Response-Dienstleister verfügt über viel Erfahrung, gebündeltes Fachwissen, neueste Technologien und Automatisierungen und agiert routiniert und ruhig. Und, der entscheidende Punkt: Dank der Schwarmintelligenz von meist Hunderten Kunden und täglich Tausenden von Sicherheitsereignissen ist der bestmögliche Schutz und die schnellstmögliche Reaktion garantiert.
CW: Was zeichnet ein gutes SOC aus?
Inderkum: Ein fortschrittliches, modernes Security Operations Center basiert und operiert auf einer offenen XDR-Architektur. Es arbeitet nahtlos mit Ihrem individuellen und bestehenden Technologie-Stack zusammen. Zudem muss sichergestellt sein, dass Bedrohungen aus allen Blickwinkeln 24/7 erkannt und Daten von Endgeräten, Netzwerken, IoT-/OT-Infrastrukturen, Cloudumgebungen und Identitäten erfasst werden. Durch die Nutzung unterschiedlicher Erkennungsmethoden, einschliesslich Machine Learning, sollten MDR-Services schnell Anomalien und verdächtige Verhaltensweisen aufdecken und mit Erkenntnissen aus aktuellen Sicherheitsvorfällen, simulierten Cyberattacken und Threat-Intelligence-Feeds anreichern können.



Das könnte Sie auch interessieren